루마니아 해커 ‘우누’의 2009년의 취약점 공개 기록

아래 글은  보안뉴스의 12월 1일자 기사를  정리한 것입니다….
원문참조: << 보안뉴스 >>

  루마니아 해커 ‘Unu'(우누)에 대한 관심이 높습니다.국내 해커들은 “이름은 들어봤지만 그렇게 유명한 해커는 아니다”라는 반응도 있고 “SQL인젝션(injection) 공격에 있어서는 굉장한 실력가”라는 반응도 나오고 있습니다. 그럴만한 이유가 있습니다.우누는 올해 들어 보안 분야에서 세계적으로 실력을 인정받고 있는 카스퍼스키랩, 빗디펜더, 시만텍 등 쟁쟁한 밴더사들을 SQL인젝션 공격으로 제압했기 때문입니다.또 지난달 27일에는 국내 업체로 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹한 바 있습니다.관련 내용들은 그의 블로그와 외신 등에 올라와 있습니다.
  그는 자신의 블로그에 “보안업체들이 정작 자신들의 취약점은 간과하고 있고 DB관리도 엉망이다. 그래서야 보안업체로서 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 전하고 있습니다.

▶ 우누의 최근 취약점 공개 기록

1.2009년 2월
  1) usa.kaspersky.com : 지난 2월 9일 ‘usa.kaspersky.com’(미국 카스퍼스키) 사이트가 루마니아 해커 ‘Unu'(우누/ 해커의 온라인 닉네임)에 의해 해킹을 당해 대량의 데이터가 노출되는 사건이 발생했습니다.그는 2월 9일 밤 늦게 해당 사이트에 SQL인젝션(injection) 공격을 시도해 해킹에 성공했다고 밝혔습니다.그 공격으로 그는 활성화 코드와 유저 정보, 버그 리스트 등등을 볼 수 있었다고 했으며 매개변수 하나만 바꿔도 유저 정보와 활성화 코드, 관리자, 숍 정보까지 모든 것에 액세스가 가능했다고 말했습니다.덧붙여 그는 시큐리티와 안티바이러스 분야에서 이름있는 기업이 정작 자신들의 데이터 베이스를 보호하는데는 소홀했다고 꼬집었습니다.

2. 2009년 8월
  1) Yahoo! 지역 토론게시판 =8월에 그는 야후가 2007년 서비스한 지역 커뮤니케이션 사이트를 SQL인젝션과 cross-site scripting (XSS) 취약점을 이용해 공격했습니다.이 공격으로 관리자와 이용자의 계정 정보를 읽을 수 있었고 서버(MySQL 5 server)에 쉘을 업로드할 수도 있었습니다.뿐만 아니라 야후 이용자들의 ID, 주소, 국가, 이메일 정보뿐만 아니라 서버에 load_file까지 가능하다는 것을 밝혀냈습니다.그는 “이 사이트에서 우리가(우누의 해킹팀) 원하는 모든 것을 할 수 있었습니다.쉘 업로드, 리다이렉츠, 트로이목마 드롭, 심지어 사이트 전체를 파괴할 수도 있었다”며 “이러한 위험한 취약점에 대해 야후 측에 모두 말해줬다”고 밝혔습니다.

3. 2009년 9월
  1) 벨기에 ING 기프트숍 : 우누는 벨기에 ING 기프트숍 웹사이트의 취약점을 공격해 관리자 계정을 포함한 해당 웹사이트의 모든 계정 패스워드를 알아냈고 이용자 이메일과 풀네임 정보 등도 알아냈습니다.또 서버에 PHP 쉘을 업로드 할 수 있다고 지적했습니다.

  2) 벨기에  Dexia 사이트 : 우누는 동일한 방법으로 Dexia의 취약점을 공격했고 대량의 데이터 베이스에 접근했습니다.물론 이용자들의 정보와 평문 패스워드를 빼내 올 수 있다는 것을 확인했습니다.

  3) HSBC France 웹사이트:  우누는 해당 사이트의 모든 데이터 베이스 접근 권한을 획득했으며 파일 시스템에 접근권한도 얻을 수 있었습니다.또한 SQL인젝션 공격으로 전체 서버(MS SQL)에 손상을 입힐 수 있는 취약점도 발견했습니다.

4.2009년 11월
  1) 일본 시만텍 사이트: 11월 23일 일본 시만텍 사이트가 우누의 블라인드 SQL인젝션 공격에 뚫렸습니다.그는 “off-the-shelf tools (Pangolin and sqlmap)을 사용해 시만텍 서버의 모든 계정에 접근이 가능했으며 서버에 저장된 많은 민감한 데이터들에 접근도 가능했다”며 “시만텍의 노턴이 우리를 막아 주기 원했지만 그들은 자신들의 데이터베이스를 지키지 못했다”고 지적했습니다.

5. 기타 해킹한 웹사이트들…
  우누는 영국 ‘The Telegraph’사와 ‘British Telecom’ 사이트를 해킹해 홈페이지를 손상시킨 바 있으며 영국 의회 사이트National Lottery 사이트 그리고 안티바이러스 업체인 F-secure, BitDefender, 한국의 잉카인터넷 B2C 고객지원 웹사이트 등도 SQL인젝션 취약점을 이용한 공격방법을 통해 중요 데이터베이스들이 노출될 수 있다는 것을 공개했습니다.

그는 모든 해킹 과정에 대해 신뢰성을 주기 위해 자신의 블로그에 스크린샷으로 증명하고 있습니다.하지만 정확하게 어떻게 공격을 하는지 그 방법에 대해서는 구체적으로 말해주지 않고 있습니다.물론 악용될 소지가 있기 때문이습니다.”Unu”는 해커스 블로그로 알려진 루마니아의 윤리적 해킹그룹의 일원으로 알려져 있습니다.이 그룹은 세계적으로 주요한 사이트 뿐만 아니라 몇 몇 안티바이러스 벤더사들의 웹사이트 SQL인젝션 취약점을 지속적으로 밝혀내고 공지하고 있습니다.

 ▶ 보안취약점 공개?  한국에서는….

한편 한국에서는 우누의 취약점 발표 방법을 두고 말들이 많습니다.혹자는 “취약점이 발견되면 해당 업체에 우선 알려야 한다”고 말한습니다.하지만 그건 한국의 현실을 모르고 하는 말이라는 반응이 많습니다. 우선 한국 사회는 취약점을 알려주는 것에 대해 색안경을 끼고 본다는 것이습니다.모 유명 해커는 “해당 업체에 취약점 알려줬다가 그걸 당신이 어떻게 알았냐며 오히려 욕을 먹었다.그리고 알려줘도 고마워할 줄도 모르고 제대로 수정이 됐는지 답변도 없다”고 지적하고 있습니다. 그래서 국내 해커들은 대부분 취약점을 혼자만 알고 숨겨버리거나 해외 유명 보안사이트에 닉네임으로 올리고 있는 것이 한국 보안의 현실입니다.그래서 기업간 기관간 정보공유가 안되고 계속 살아있는 취약점 때문에 공격받고 또 공격받고 있는 상황입니다. 해커에게 “왜 업체에 먼저 알려줄 것이지 자기 블로그나 언론에 공개하느냐” 탓하기 전에 우리 사회가 그러한 오픈된 문화가 형성돼 있나를 살펴봐야 합니다. 보안정보 공유 과정에서 문제가 있다면 국가 전반적인 보안환경 개선을 위해서라도 해커와 보안담당자 그리고 정부가 나서 하나씩 개선해 나가는 노력들이 필요할 것입니다.

[보안뉴스091207] 루마니아 해커 ‘우누’ SQL인젝션으로 시만텍 일본 고객지원웹사이트와 잉카인터넷 고객지원웹사이트 뚫다

  지난 11월 23일과 27일, 루마니아 해커 우누(Unu)가 시만텍 일본 고객지원 웹사이트와 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹했다고 자신의 블로그에 공개하였습니다.  우누는 그레이해커로 알려져있습니다.  실제로  피해를 입히기위한 것이라기 보다는  내노라하는  보안전문업체들도  SQL인젝션 공격에 의해 침해가 가능하고 민감한 정보들의 유출이 가능하다는 것을 보여주었다고 할 수 있습니다 .  잉카인터넷은  엔프로텍트로 유명한 업제이지요..  인터넷뱅킹시에 많이 보셨을 것입니다….

    SQL인젝션 공격은 새로울 것이 없는 공격방법임에도 불구하고 여전히 대비가 안된 사이트가 많아서   관리자들의  주의가 많이 요구되고 있습니다.  한국이 좋은 공격대상이 되는 것은 발달된 IT인프라와  아직 낮은 보안의식등이  한 몫을 하고 있다고 할 수 있겠네요..  사실 새삼스러울게 없는 내용이지만   그래도 주의가 요구되니  아직 보호대책이 없는 관리자님들은  시급히 대책을 세우시길 바랍니다.

   루마니아 해커 우누의  블로그에 가보세요…   지속적으로 유명사이트들을 해킹하고 있으며  취약점을  자신의 블로그를 통해서  소개하고 있는 것을 보실 수가 있습니다.  자신이 해킹한 사이트들의 스크린샷과   사용한 해킹툴등을 소객하고 있더군요…

Unu의 블로그:   http://unu123456.baywords.com/

 << 우누의 블로그: 잉카인터넷 웹사이트 해킹에 관한 글 보기 >>
사용자 삽입 이미지

 << 우누의 블로그: 시만텍 일본 웹사이트 해킹에 관한 글 보기 >>
사용자 삽입 이미지

내일 (091202) 제3회 인터넷 전화 보안기술세미나가 있습니다.

인터넷전화 사용자 600만 시대에 맞아서   방통위에서 인터넷전화 보안기술 세미나를 개최합니다.  신청은  Kisa 홈페이지의  초기화면에 보이는 공지글을  열어보시면   하단에  행사참여를 위한 온라인신청폼이 포함되어있습니다.

사용자 삽입 이미지

제 3회 인터넷전화 보안기술 세미나

                                 – 600만 인터넷전화시대의 보안정책과 기술

일자: 2009.12.2(수) 10:00-17:00
장소: 양재동 aT 센터 5층 대회의실
주최: 방송통신위원회
주관: KISA 한국인터넷 진흥원

시 간           주요 내용 및  발표자
09:30~10:00   등 록
10:00~10:40   [Keynote 1] 방통융합환경에서 인터넷전화 동향 항공대 김진기 교수
10:40~11:20   [Keynote 2] 인터넷전화 보안 취약점 소개 및 시연 충남대 아르고스
11:20~11:40   개 회 식 (사회 : KISA 정현철 팀장)
11:20~11:30   개회사 KISA 김희정 원장
11:30~11:40   축 사 방통위 황철증 국장
11:40~13:00   전시부스관람 & 점심식사
13:00~13:40   [세션1] 정부의 인터넷전화 보안 정책 추진 방향(좌장: 순천향대 염흥열 교수)
13:00~13:20   공공․지자체 인터넷전화 구축 방향 행안부 권성수 박사
13:20~13:40   민간분야 인터넷전화 보안 대책 추진 현황 및 전략 방통위 배영식 사무관
13:40~14:00   Coffee Break
14:00~15:00   [세션2] 인터넷전화 서비스 보안성 강화 방안(좌장: 숙명여대 이광수 교수)
14:00~14:20   안전한 인터넷전화 서비스 환경 구축 방안 서울여대 김형종 교수
14:20~14:40   해외 인터넷전화 공격사례 및 보안기술 소개 KISA 김환국 선임
14:40~15:00   인터넷전화 사업자 보안 운영 현황 KT 조현혁 책임
15:00~15:20   Coffee Break
15:20~16:20   [세션3] 인터넷전화 보안제품 적용 방안(좌장: 고려대 이희조 교수)
15:20~15:50   인터넷전화 시스템 기능/성능 검증(BMT) 방안 TTA 이문길 전임
15:50~16:20   인터넷전화 보안제품 동향 및 구축 시 고려사항 모니터랩 안병규 이사
16:20~16:50   [패널토의] “효율적인 공공ㆍ민간 인터넷전화 보안통신 구축 전략”
                  좌장: 충남대 류재철 교수
                  방통위 배영식 사무관, 행안부 권성수 박사
                  KISA 정현철 팀장, KT 임영숙 부장
                  LG데이콤 윤철희 팀장, 제너시스템즈 이도경 실장
16:50~17:00 폐회 (경품 추첨)

사용자 삽입 이미지

ENISA, 클라우드 컴퓨팅 보안의 구름을 걷어내다..

  ENISA는  유럽연합(EU)의 사이버보안기관입니다.  ENISA(European Network and Information Security Agency: 유럽 네트워크 및 정보보안 기구)    ENISA에서는 “Cloud Computing: Benefits, risks and recommendations for information security”라는 포괄적이고 새로운 보고서를 발표했다고 합니다.
  http://www.enisa.europa.eu/media/press-releases/enisa-clears-the-fog-on-cloud-computing-security-1

  최근 클라우드 컴퓨팅이 이슈가 되고 있습니다.  국내에서도 메일및 SCM을 클라우드서비스 방식으로 전환하는 사례가  발생하고 있기도 합니다.  클라우드 서비스는 분명 비용절감등의 많은 잇점을 가지고 있습니다. 그러나 동시에 보안때문에 불안하게 여겨지는 면이 많이 있습니다.  과연 클라우드 서비스업자를 얼마나 믿을 수 있는가?  또.. 네트웍단에서 전송간에 발생할 수있는 보안문제는 어떻게 해결할 것인가…등….  이런 궁금증들을 해결해줄 수있는 세부적인 123페이지 짜리 보고서를 읽어보시기 바랍니다  

  아래의 URL에서 클라우드 보안에 있어서 고려할 점들을 상세하게 풀어놓은 세부적인 PDF보고서를 다운로드 받으실 수 있습니다.  << PDF  보고서 다운로드 받기 >>

  사용자 삽입 이미지

IE 6, 7 사용시 원격코드 실행될 수있는 제로데이 취약점 발견

▶ 취약점 내용
MS Internet Explorer 6, 7 을  사용하는 PC
에서 특수하게 조작된 웹페이지에 방문할 경우 CSS/Style object 처리하는 과정에서  원격코드가 실행되는 취약점이 발견되었습니다.

▶ 대응책
 1) 신뢰할 수 없는 사이트에 방문자제:  
   
현재 해당 취약점에 대한 보안업데이트는 발표되지 않았기 때문에  신뢰할만한 사이트만 가세요..^^
 2) IE 8 로의 업그레이드 
 3) 백신의 패턴을 최신으로 유지
 4) IE 6,7 설정에 의해 임시적인 보호 가능
     –> 보안
업데이트가 발표되기 전까지 JavaScript 사용하지 않도록 설정 
  JavaScript 사용하지 않도록 설정할 경우 사이트가 정상적으로 동작하지 않을 있습니다.
      Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준
      “Active 스크립팅 사용 안함으로 설정

▶ 참조 사이트 
  o 한글 : http://www.krcert.or.kr 
           http://www.boannews.com/media/view.asp?idx=18645&kind=0
  o 영문 : http://www.securityfocus.com/bid/37085/info
  o 영문 : http://isc.sans.org/diary.html?storyid=7624

2009-11 보안패치가 발표되었습니다.

11월 Microsoft 보안패치가 발표되었습니다.  사실 12일에 나왔는데  올리는게 늦었습니다.   최근들어 가장 적은 보안패치가 나온 것 같습니다.  6개의 보안패치가  발표되었구요.. 그중에 긴급이 3개, 중요가 3개 되겠습니다. 또한  6개 모두가 리부팅이 필요합니다..      이번달에 나온 패치중에서  그래픽 드라이버와의 충돌현상이 발생된 것이 한건 있습니다. 

11월 보안패치중 주의가 필요한 사항 (에러 보고되었음)
1.
증상 : MS 11 정기 보안 패치 적용 일부 PC 정상적인 동작을 하지 않는 현상 발생

2. 원인 : 델이 지난해 3분기 출시한 PC 탑재한 ATI 드라이브(그래픽 카드) 충돌로 인한 현상

3. 패치 : ‘윈도 커널 모드 드라이버의 취약점으로 인해 발생한 원격 코드

            실행 문제점(MS09-065)’ 해결하기 위해 제공한 보안패치KB969947

3. 대응 방안 : KB969947보안 패치 적용 제외

11월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-063

Web Services on Devices API의 취약점으로 인한 원격 코드 실행 문제점 (973565)

  이 보안 업데이트는 Windows 운영 체제의 WSDAPI(Web Services on Devices 응용 프로그래밍 인터페이스)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 영향을 받는 Windows 시스템에서 특수하게 조작된 패킷을 받을 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 로컬 서브넷에 있는 공격자만 이 취약점을 악용할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-064

라이센스 로깅 서버의 취약점으로 인한 원격 코드 실행 문제점 (974783)
 

이 보안 업데이트는 Microsoft Windows 2000에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자가 특수하게 조작된 네트워크 메시지를 라이센스 로깅 서버를 실행하는 컴퓨터로 전송하면 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행


Windows 2000 server

MS09-065

Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (969947)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 EOT(Embedded OpenType) 글꼴로 렌더링된 콘텐츠를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 웹을 통한 공격의 경우 공격자는 이 취약점 악용 시도에 사용되는 특수하게 조작된 포함 글꼴을 포함한 웹 사이트를 호스팅해야 합니다. 또한 사용자가 제공한 콘텐츠를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 공격자는 강제로 사용자가 특수하게 조작된 웹 사이트를 방문하도록 만들 수 없습니다. 대신, 공격자는 사용자가 공격자의 사이트로 이동되는 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하도록 하여 웹 사이트를 방문하도록 만들어야 합니다.

**충돌 보고됨:**주의

Dell 제품 중 지난해 3분기 출시한 ATI드라이브과의 출동현상 보고됨

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-066

Active Directory의 취약점으로 인한 서비스 거부 문제점 (973309)

이 보안 업데이트는 Active Directory 디렉터리 서비스, ADAM(Active Directory Application Mode) 및 AD LDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 특정 유형의 LDAP 또는 LDAPS 요청을 실행하는 동안 스택 공간을 다 써버릴 경우 이 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 이 취약점은 ADAM 또는 AD LDS를 실행하도록 구성된 도메인 컨트롤러와 시스템에만 영향을 줍니다.

중요, 리부팅 필요
서비스 거부

MS Windows,

MS09-067

Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (972652)

MS Office XP (973471)
MS Office 2003 (973475)
MS Office 2007 (973593)

이 보안 업데이트는 Microsoft Office Excel에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격 코드 실행

MS Office

MS09-068

Microsoft Office Word의 취약점으로 인한 원격 코드 실행 문제점 (976307)

MS Office XP (973444)
MS Office 2003 (973443)

이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격코드 실행


MS Office

산업보안진단전문가 양성과정 참여중입니다.

어제부터   산업보안진단전문가 양성과정에  참여중입니다.  총 23명의 인원이 교육에 참여하고 있는 중입니다.  교육대상이신 분들이  정보보호관련 전문가 분들이 대부분이더군요.. 현직 정보보호전문업체의 컨설턴트, ISO27001을 기 인증받은 회사의 관련 전문인력등이 참여하고 있습니다.    ISO27001에 입각한 정보보호 진단및 대안제시를 할 수있는 인력양성을 위한 목적으로 이 과정이 생긴 것이라고 합니다.

목 적 : 산업보안분야에 특화된 현장·프로세스진단 전문가 양성
일 시 : 2009. 11. 10(화) ~ 13(금) (3박4일, 합숙교육)
모집인원 : 25명 내외
교육장소 : 용인한화콘도
지원자격 :  4년이상 산업보안, 정보보호분야 업무경력 또는 산업보안·정보보호 석사학위 졸업 이상 또는 관련분야 전문자격소지자
주 최 : 지식경제부
주 관 : 한국인정원, 한국산업기술보호협회

□ 주요 내용
  – 산업보안에 대한 이해
  – 산업보안 진단 기법 
  – 산업보안 관리체계 진단(ISO/IEC 27001 국제표준)
  – 산업보안 진단 실습
  – 산업보안 보호대책에 대한 이해
  – 산업보안 취약점 진단 사례
  – 산업보안 위험분석 및 위험평가 Ⅰ
  – 산업보안 위험분석 및 위험평가 Ⅱ
  – 산업보안 위험통제 대책 및 전략수립 Ⅰ
  – 산업보안 위험통제 대책 및 전략수립 Ⅱ

거의 모든 과정이 진행되는 강의실입니다.사용자 삽입 이미지콘도 모습이죠…
사용자 삽입 이미지아침에 근처 산책로를 걸었습니다.
사용자 삽입 이미지

mbsacli 로 MBSA 자동화하기

  MBSA 2.1.1 최신버전이 나왔습니다.  매월  MBSA를 이용하여  자체적인 서버 보안감사를 실시하고 있습니다.  하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서  일부 서버를 대상으로 샘플링으로  MBSA 스캐닝을 하고 있는 중이지요..   하지만  보안취약점 점검을  소수의 서버만 한다는 것이 마음에 걸리더군요.. 

  그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다.  MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서  배치작업을 돌리는 것이 가능하더군요… 배치작업을 돌리면  스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다.   사실 분석하는 것보다  스캐닝하는 시간이 대부분을 차지하기 때문에  어려움이 있었습니다.  이것을   배치작업으로 특정 공유폴더에   감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠.. 

▶ MBSA의 설치

1.  일단 최신 MBSA 버전을 다운로드 받습니다.
    (OS버전에 맞는 것을 다운로드합니다 영문으로… 한글버전은 존재하지 않으니까요… )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

2. MBSA를 설치합니다.  배치작업을 편리하게 하기위해서  설치 디렉토리를 단순하게 하는것이 좋습니다.
   예) c:\mbsa2\

▶ MBSA 리포트업로드를 위한 공유폴더 생성

1.  Report 업로드를 위한 공유폴더를 생성합니다.
   예)  \\192.168.168.15\MBSA_Report\

2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)–> 중요
    일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면  정말 곤란한 노릇이지요…

▶ MBSA 리포트업로드를 위한 배치파일 생성
1.  배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
 =====================================================
-> 위 배치파일은  공유폴더에  스캐닝한 컴퓨터이름과 날짜로된  report파일을 업로드하게 해줍니다.
    변수를 잘 몰라서  %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
    세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.

2. 만들어진 배치파일이 잘 작동하는지 확인후에   스케쥴 작업을 걸어줍니다.
   매월 1회씩만 하면 되겠죠?  대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
  1-2일 정도 분석해서  25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠…

3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.

2009-10 MS 보안패치 발표 내역입니다.

 10월 Microsoft 보안패치가 발표되었습니다.  최근들어 가장 많은 보안패치가 나온 것 같습니다.  무려 12개씩이나 발표되었구요.. 그중에 긴급이 8개, 중요가 4개 되겠습니다. 또한  12개 모두가 리부팅이 필요합니다..     

10월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-050

SMBv2의 취약점으로 인한 원격 코드 실행 문제점(975517)

  이 보안 업데이트는 SMBv2(Server Message Block Version 2)에서 발견되어 공개적으로 보고된 취약점 1건과 비공개적으로 보고된 취약점 2건을 해결합니다. 가장 위험한 취약점은 공격자가 서버 서비스를 실행하는 컴퓨터로 특수하게 조작된 SMB 패킷을 전송할 경우 원격 코드 실행을 허용할 수 있습니다.  인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-051

Windows Media Runtime의 취약점으로 인한 원격 코드 실행 문제점(975682)
  * DirectShow WMA음성코덱 – 969878
  * Windows Media 오디오 음성디코드 – 954155
  * 오디오압축관리자 – 975025

이 보안 업데이트는 Windows Media Runtime에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 미디어 파일을 열거나, 웹 사이트 또는 웹 콘텐츠를 제공하는 응용 프로그램으로부터 특수하게 조작된 스트리밍 콘텐츠를 받을 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행


MS Windows ?,

MS09-052

Windows Media Player의 취약점으로 인한 원격 코드 실행 문제점(974112)

이 보안 업데이트는 비공개적으로 보고된 Windows Windows Media Player의 취약점을 해결합니다. 이 취약점으로 인해 Windows Media Player 6.4를 사용하여 특수하게 조작된 ASF 파일을 재생할 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
(vista,server2008 X)

MS09-054

Internet Explorer 누적 보안 업데이트(974455)

이 보안 업데이트는 Internet Explorer에 대해 비공개적으로 보고된 취약점 3건과 공개된 취약점 1건을 해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
원격 코드 실행

MS Windows,
Internet Explorer

MS09-060

Microsoft Office용 Microsoft ATL(액티브 템플릿 라이브러리) ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점(973965)
  * Outlook2002 sp3- 973702
  * Outlook2003 sp3 – 973705
  * Outlook2007 sp1,sp2 – 972363
  * Visio2007 – 973709

이 보안 업데이트는 취약한 버전의 Microsoft ATL(액티브 템플릿 라이브러리)을 사용하여 컴파일된 Microsoft Office용 ActiveX 컨트롤에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 구성 요소 또는 컨트롤을 로드하는 경우 원격 코드 실행이 발생할 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

긴급, 리부팅 필요
원격 코드 실행

MS Office

MS09-061

Microsoft .NET 공용 언어 런타임의 취약점으로 인한 원격 코드 실행 문제점(974378)
  * .NET Framework 1.1 sp1- 953297
  * .NET Framework 2.0 sp1- 953300
  * .NET Framework 2.0 sp2- 974417
  * Visio2007 – 973709

이 보안 업데이트는 Microsoft .NET Framework 및 Microsoft Silverlight에서 비공개적으로 보고된 취약점 3건을 해결합니다. 사용자가 XBAP(XAML 브라우저 응용 프로그램) 또는 Silverlight 응용 프로그램을 실행할 수 있는 웹 브라우저를 사용하여 특수하게 조작된 웹 페이지를 보거나, 공격자가 특수하게 조작한 .NET 응용 프로그램을 실행하도록 사용자를 유인하는 데 성공할 경우 이 취약점으로 인해 클라이언트 시스템에서 원격 코드가 실행될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다. 서버에서 ASP.NET 페이지 처리를 허용하고 공격자가 해당 서버에 특수하게 조작한 ASP.NET 페이지를 성공적으로 업로드하여 실행할 경우 이 취약점으로 인해 IIS를 실행하는 서버 시스템에서 원격 코드가 실행될 수 있습니다. 이러한 경우는 웹 호스팅 시나리오에서 발생할 수 있습니다. 악의적이지 않은 Microsoft .NET 응용 프로그램, Silverlight 응용 프로그램, XBAP 및 ASP.NET 페이지는 이 취약점으로 인해 공격을 받을 위험이 없습니다.

긴급, 리부팅 필요
원격코드 실행


MS Windows, ?
(특히 IIS server)
.NET Framework,
MS Siverlight,

MS09-062

GDI+의 취약점으로 인한 원격 코드 실행 문제점(957488)
  * Windows- 958869
  * .NET Framework 1.1 sp1- 971108
  * .NET Framework 2.0 sp1- 971110
  * .NET Framework 2.0 sp2- 971111
  * Office project2002 sp1- 974811
  * Office Visio 2002 sp2- 975365
  * Office 2003 각종 viewer  sp1- 972580
  * Office 2007 각종 viewer – 972581
  * SQL server2005 sp2- 970895
  * SQL server2005 sp2 – 970892
  * Report viewer2005 – 971117
  * Report viewer2005 sp2- 971118
  * Report viewer2008 – 971119

이 보안 업데이트는 Microsoft Windows GDI+에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 이 취약점으로 인해 사용자가 영향을 받는 소프트웨어를 사용하여 특수하게 조작된 이미지를 보거나 특수하게 조작된 콘텐츠가 포함된 웹사이트를 탐색할 경우 원격 코드 실행이 허용될 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

긴급, 리부팅 필요
권한상승

MS Windows, ?
Internet Explorer,
.NET Framework,
MS Office,
MS SQL Server,
MS 개발자 도구

MS09-053

IIS(인터넷 정보 서비스) FTP 서비스의 취약점으로 인한 원격 코드 실행 문제점(975254)

이 보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) 5.0, Microsoft IIS(인터넷 정보 서비스) 5.1, Microsoft IIS(인터넷 정보 서비스) 6.0 및 Microsoft IIS(인터넷 정보 서비스) 7.0의 FTP 서비스에 대해 공개적으로 보고된 취약점 2건을 해결합니다. IIS 7.0에서는 FTP 서비스 6.0만 영향을 받습니다. 이 취약점으로 인해 IIS 5.0에서 FTP 서비스를 실행하고 있는 시스템에 원격 코드 실행(RCE)이 발생하거나 IIS 5.0, IIS 5.1, IIS 6.0 또는 IIS 7.0에서 FTP 서비스를 실행하고 있는 시스템에 서비스 거부(DoS)가 발생할 수 있습니다

중요, 리부팅 불필요
권한상승
서비스 거부

MS Windows,?
(특히 IIS Server)

.NET Framework

MS09-056

Windows CryptoAPI의 취약점으로 인한 스푸핑 허용 문제점(974571)

이 보안 업데이트는 Microsoft Windows에서 발견되어 공개적으로 보고된 취약점 2건을 해결합니다. 최종 사용자가 인증에 사용한 인증서에 공격자가 액세스할 수 있는 경우 이 취약점으로 인해 스푸핑이 허용됩니다.

중요, 리부팅 필요
스푸핑

MS Windows,

MS09-057

인덱싱 서비스의 취약점으로 인한 원격 코드 실행 문제(969059)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 공격자가 ActiveX 구성 요소에 대한 호출을 통해 인덱싱 서비스를 실행하는 악의적인 웹 페이지를 설정할 경우 원격 코드 실행을 허용할 수 있습니다. 이 호출은 악의적인 URL을 포함할 수 있으며, 취약점을 악용하여 웹 페이지를 검색하는 사용자의 권한으로 클라이언트 시스템에 액세스할 수 있는 권한을 공격자에게 부여합니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다

중요, 리부팅 불필요
서비스 거부

MS Windows,

MS09-058

Windows 커널의 취약점으로 인한 권한 상승 문제점(971486)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점은 공격자가 시스템에 로그온하여 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승을 허용할 수 있습니다. 이러한 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

중요, 리부팅 필요
권한상승

MS Windows,

CISSP협회 091016 정보보호리더십 세미나

   CISSP 자격을 취득한지도 3년째입니다.  보안업무를 하고 있기는 하지만  현장에의 적용은 쉽지많은 않다는 느낌입니다. 지속적으로 스터디하고 지식을 발전시켜 나가기도 만만치 않기도 합니다.  실무에선  운영적인  지엽적인 문제들 위주로 닥치기 때문에  전체를 보는 눈이 작아진다는 느낌도 들구요..

  CISSP협회에서는 자주 세미나를 진행하고 있습니다.  내일 16 저녁에도 역삼동에서 사이버 테러 위협과 방어라는 주제로 세미나를 하더군요..  고맙게도 4 CPE를 부여해준다고 합니다.  게다기 비용은 무료입니다.    제 경우 아직 서티를 안받아서 도움이 안되겠지만요..  ^^  서티를 받아야지 하면서도 늘 미루게 되는 군요..  이런 세미나에 참석하는것은 감각을 유지하고 시야를 넓히는데 도움이 되니까  가능하다면 반드시 참석하려고 합니다.    CISSP협회 세미나는  CISSP 회원을 위한 것이므로  라이센스가 없는 분들은  참여가 안되는 것으로 알고있습니다.

=============================================
주제: 사이버 테러 위협과 방어
주최: 한국 CISSP 협회
장소: 서울 역삼동 한국과학기술회관 대회의실
일시: 2009.10.16 (금) 18:30-21:00
혜택: 4 CPE부여
비용: 무료
=============================================

CISSP협회 홈페이지:  http://www.cisspkorea.or.kr/
사용자 삽입 이미지